Autoridade de Certificação da Floresta Transversal

Question

Autoridade de Certificação da Floresta Transversal

#1 resposta do (2 votos)

1

Procurando ajuda no material para configurar uma infra-estrutura PKI multicamada / entre florestas. Os únicos artigos que posso encontrar são apenas configurar os sistemas básicos de dois níveis em um domínio.

Basicamente, temos um domínio de gerenciamento (compramos empresas a cada ano, parece que temos isso para ajudar no processo de consolidação). Vamos chamar este domain1.com. Nós configuramos com sucesso uma autoridade de certificação em domain1.com no formato de dois níveis (raiz off-line com subca empresarial on-line).

subca.domain1.com

Neste momento, não tenho certeza de como obter o novo domínio, domain2.com, para obter certs da subca domain1.com. A Microsoft disse que eu preciso criar uma subca para cada domínio diferente que se conecte a domain1.com

subca.domain2.com

Isso soa certo? Como eu configuro o subca.domain2.com para publicar certificados nos controladores de domínio domain2.com quando a autoridade raiz está no domínio1? A entrega final é começar a fazer LDAPS em domain2.com. Obrigado a qualquer um que possa me apontar na direção certa ...

certificate certificate-authority ad-certificate-services

por Matthew Dartez 06.07.2015 / 17:49

1 resposta

Tags certificate certificate-authority ad-certificate-services

Configure o StrongSwan para funcionar com o DHCP Backup de duplicidade para S3: BackendException

score 2 · Accepted Answer

A posição da Microsoft está correta, mas precisa de um esclarecimento: geralmente você precisa implantar um servidor de CA separado para cada * floresta * . Por exemplo, você não precisa implantar uma CA separada no domínio corp.domain1.com, por exemplo.

Eventualmente, existem duas soluções suportadas:

como a Microsoft disse, você precisa implantar uma autoridade de certificação separada em cada floresta do AD adquirida. Nesse caso, cada CA possui uma autoridade separada e pode emitir certificados apenas para os respectivos clientes da floresta.
ao ter o Windows Server 2008 R2 (ou mais recente) como uma autoridade de certificação na floresta pai, você pode estabelecer um registro de certificado entre florestas: AD CS: implantando a inscrição de certificados entre florestas . Isso requer uma confiança bidirecional entre as florestas. Isso permitirá usar o servidor da CA localizado na floresta pai para implantar certificados para todos os clientes da floresta confiáveis.

qualquer opção requer alguns esforços administrativos. Mas se você for migrar as florestas adquiridas para a floresta pai ou gerenciá-las centralmente, eu escolheria a opção 2. Caso contrário, se cada floresta tiver seu pessoal de TI dedicado, a opção 1 seria mais adequada.

Além disso, gostaria de lembrar que há Serviços da Web de inscrição , que simplificam o certificado processo de inscrição entre florestas. Você nem precisa executar a sincronização de objetos do AD PKI, porque os clientes usarão servidores CEP / CES para fins de inscrição.